WordPress alimente plus de 35% de tous les sites Web sur Internet, ce qui en fait une cible juteuse pour les acteurs malveillants du monde entier.
Si vous souhaitez sécuriser votre site Web ou les sites Web de vos clients, un plugin de sécurité dédié peut faire beaucoup de travail pour vous.
Pour vous aider à choisir le meilleur plugin de sécurité WordPress pour vos besoins, nous avons rassemblé huit excellentes options qui peuvent vous aider à renforcer la sécurité, les pare-feu et l’analyse des logiciels malveillants.
Examinons-le, en commençant par un aperçu rapide de ce que font la plupart des plugins de sécurité WordPress.
La sécurité WordPress est un sujet assez large, donc quand je dis «plugin de sécurité WordPress», cela peut englober une gamme de fonctionnalités différentes.
Donc, avant d’entrer dans les plugins, examinons quelles sont ces différentes fonctionnalités de haut niveau afin que vous sachiez ce que fait chacun de ces outils.
Le renforcement de la sécurité de base est une sorte de fourre-tout pour «les changements de configuration ou les outils qui rendent votre site WordPress plus sécurisé».
Par exemple, les plugins de sécurité vous aideront généralement à sécuriser votre page de connexion avec des fonctionnalités telles que:
Ce sont toutes des tactiques de durcissement.
D’autres stratégies de renforcement populaires incluent la surveillance des fichiers WordPress de base pour détecter si quelque chose a été modifié, la désactivation des fonctionnalités WordPress telles que XML-RPC, l’arrêt de l’énumération des utilisateurs, etc.
Une autre tactique que vous verrez souvent mentionnée est un pare-feu.
Essentiellement, un pare-feu de site Web est quelque chose qui se situe entre votre site WordPress et ses visiteurs. Les visiteurs réguliers n’ont aucun problème à utiliser votre site, mais si le pare-feu détecte une activité malveillante (via l’adresse IP, les actions, etc.), il bloquera ce visiteur avant qu’il ne puisse causer un problème.
Avec WordPress, vous verrez cela appelé un pare-feu d’application Web ou WAF.
Il est important de noter que tous les pare-feu ne sont pas identiques. C’est-à-dire, juste parce que deux plugins offrent tous les deux un «pare-feu», cela ne signifie pas que ces outils sont automatiquement égaux, car un pare-feu est seulement aussi bon que les règles qu’il suit.
Certains plugins de sécurité WordPress, comme Wordfence, mettent constamment à jour leurs règles de pare-feu en temps réel pour s’adapter aux menaces de sécurité émergentes. D’autres sont essentiellement un ensemble statique de règles qui ne changent jamais. Les deux peuvent être utiles – c’est juste que l’un sera plus efficace pour vous protéger contre de nouveaux types de vulnérabilités.
Une autre partie populaire des plugins de sécurité WordPress est l’analyse des logiciels malveillants. Vous connaissez probablement ce concept en exécutant des analyses sur votre propre ordinateur.
Fondamentalement, l’outil analysera votre site pour détecter les codes malveillants et retournera un rapport de tout ce qu’il trouvera.
Encore une fois, l’efficacité de l’analyse des logiciels malveillants dépend de ses règles et de son approche. Autrement dit, juste parce que deux plugins effectuent tous deux une «analyse de logiciels malveillants», ce qui ne les rend pas égaux.
Tout d’abord, tout comme avec les pare-feu, vous avez des différences dans les règles de détection. Un analyseur de logiciels malveillants s’appuie sur des «signatures de logiciels malveillants» pour identifier les logiciels malveillants. Donc, si votre scanner de malware n’a pas de signature pour une menace émergente, il pourrait ne pas être en mesure de le détecter.
Deuxièmement, vous avez l’approche. Certains plugins / outils, comme le populaire outil Sucuri SiteCheck , analysent uniquement le front-end de votre site. Cela peut détecter les logiciels malveillants détectables depuis le front-end de votre site Web, mais il ne détectera pas les logiciels malveillants cachés sur votre serveur.
Pour détecter les logiciels malveillants qui ne se manifestent pas sur le front-end de votre site, vous devez utiliser un scanner de logiciels malveillants qui analyse tous les fichiers sur votre serveur.
Avec cette introduction à l’écart, laissez-nous vous aider à choisir le meilleur plugin de sécurité WordPress pour vos besoins.
Voici les huit plugins que nous allons examiner:
Sucuri est un autre outil de sécurité de site Web populaire. Sucuri comprend deux parties:
Le plugin gratuit de WordPress.org vous aide principalement à renforcer la sécurité de base.
Il vous donnera diverses règles et astuces que vous pouvez appliquer, telles que la désactivation du plug-in dans le tableau de bord et de l’édition de thème et le blocage de l’exécution de PHP dans certains répertoires sensibles.
Les autres fonctions de sécurité incluent la possibilité de:
Au-delà de cela, le plugin est également livré avec le service Sucuri SiteCheck pour l’analyse des logiciels malveillants. Cependant, il est important de comprendre que ce service scanne simplement le front-end de votre site pour détecter les problèmes – il n’analysera pas les fichiers sur votre serveur comme certains autres scans de logiciels malveillants. Vous n’avez pas non plus besoin du plugin pour utiliser cet outil – vous pouvez l’exécuter à partir du site Web de Sucuri.
Pour plus de sécurité, le plugin peut vous aider à vous connecter au service de pare-feu payant Sucuri. Ce pare-feu est un WAF basé sur le cloud avec des règles régulièrement mises à jour par l’équipe Sucuri. Le pare-feu vous permet également:
Le service payant Sucuri peut également aider à protéger votre site contre les attaques DDoS.
Prix: Le plugin Sucuri est 100% gratuit. Le pare-feu Sucuri coûte 19,98 $ par mois et l’ensemble de la plate-forme Sucuri (qui comprend la détection et le nettoyage des logiciels malveillants) coûte 299,99 $ par an.
iThemes Security est un plugin de sécurité freemium de… iThemes – d’où son nom. Si vous n’êtes pas familier, iThemes est un développeur populaire derrière une gamme de plugins, y compris BackupBuddy. iThemes a été acquis par Liquid Web en 2018.
iThemes Security se concentre sur le renforcement de la sécurité WordPress. Il vous permet de vous connecter au service Sucuri SiteCheck pour la détection frontale des logiciels malveillants – mais vous pouvez simplement exécuter cette fonctionnalité à partir du site Web de Sucuri, donc ce n’est pas vraiment une analyse intégrée des logiciels malveillants.
Il n’annonce pas de pare-feu, mais il inclut des fonctionnalités qui vous permettent de bloquer certains bots et adresses IP. Il existe également une fonctionnalité de «protection contre la force brute du réseau» qui peut bloquer automatiquement les adresses IP qui ont essayé de forcer brutalement d’autres sites WordPress.
Quant au renforcement de la sécurité, iThemes Security peut vous aider à sécuriser votre processus de connexion avec des fonctionnalités telles que:
Il propose également un mode «Absent» qui vous permet de verrouiller votre site pendant les périodes où vous n’y accédez pas.
Les autres fonctionnalités de renforcement de la sécurité incluent:
Si vous devez gérer plusieurs sites WordPress, il a également une intégration avec iThemes Sync.
Prix: version gratuite sur WordPress.org. La version payante commence à 80 $.
All In One WP Security & Firewall est un plugin de sécurité WordPress populaire 100% gratuit.
Il vous aide à implémenter une tonne de différentes fonctionnalités de renforcement de la sécurité telles que:
Il comprend également des fonctionnalités pour sécuriser votre processus de connexion telles que:
Il vous fournira également un «indicateur de sécurité» pour vous aider à améliorer la sécurité de votre site.
All In One WP Security & Firewall comprend ce qu’il appelle un pare-feu, mais il n’est pas aussi robuste que quelque chose comme Wordfence ou Sucuri. Il s’agit plus d’un ensemble statique de règles – il ne s’adapte pas aux menaces émergentes comme ces autres plugins.
Prix: 100% gratuit sur WordPress.org.
BulletProof Security est une autre option qui offre une approche tout-en-un de la sécurité WordPress avec:
La version gratuite offre un durcissement de base tel que:
Il inclut également une analyse des logiciels malveillants dans la version gratuite, tandis que la version payante comprend une protection en temps réel avec le système de détection et de prévention des intrusions AutoRestore | Quarantine de BulletProof Security (ARQ IDPS).
La version payante ajoute également d’autres fonctionnalités telles que:
L’interface utilisateur semble assez datée et n’est pas aussi agréable que d’autres outils, mais BulletProof Security est bien considéré en ce qui concerne son efficacité.
Prix: version gratuite sur WordPress.org. La version payante commence à 69,95 $.
Jetpack est un plugin tout-en-un populaire d’Automattic, les mêmes personnes derrière WordPress.com et WooCommerce.
Contrairement à tous les autres plugins de cette liste, Jetpack ne se concentre pas uniquement sur la sécurité WordPress, mais il inclut de nombreuses fonctionnalités de sécurité dans ses plans gratuits et payants.
La version gratuite permet de sécuriser votre connexion WordPress avec une protection par force brute et la possibilité d’utiliser une connexion sécurisée WordPress.com. Autrement dit, vous pouvez vous connecter à votre propre site WordPress en utilisant vos informations d’identification WordPress.com.
Avec les plans payants, vous avez également accès à des sauvegardes et à des analyses de logiciels malveillants (ces fonctionnalités s’appelaient auparavant VaultPress. Maintenant, VaultPress a fusionné avec Jetpack).
Les fonctions de sauvegarde et d’analyse sont liées entre elles, ce qui fait qu’elles sont uniques. Avec la plupart des outils d’analyse de logiciels malveillants, l’outil analyse les fichiers sur votre serveur WordPress réel. C’est bon pour attraper les logiciels malveillants, mais cela consomme également des ressources sur le serveur de votre site Web en direct.
Avec Jetpack, Jetpack sauvegarde d’abord votre site dans un emplacement hors site. Ensuite, il analyse la copie de sauvegarde de votre site à la recherche de logiciels malveillants, ce qui signifie qu’il n’affectera pas les performances de votre site Web en direct.
Dans le cadre de ses analyses, Jetpack recherche:
Si Jetpack trouve quelque chose de malveillant, cela peut vous aider à réparer le problème.
Prix: Certaines fonctionnalités sont disponibles dans la version gratuite. L’analyse des logiciels malveillants est disponible sur le plan Premium et au-dessus, qui commence à 9 $ par mois. Cela vous donne également accès à de nombreuses autres fonctionnalités Jetpack.
SecuPress est un autre plugin de sécurité WordPress bien connu, disponible en version gratuite et payante.
SecuPress a été initialement lancé par WP Media, la même société derrière le populaire plugin WP Rocket. Cependant, WP Media a ultérieurement cédé la propriété au propriétaire actuel (qui était l’un des cofondateurs de WP Media). Fondamentalement, c’est une longue façon de dire que vous verrez des similitudes de conception avec WP Rocket, mais les deux ne sont plus la même entité.
Avec la version gratuite, vous pouvez:
Vous obtenez également un pare-feu dans la version gratuite.
La version premium ajoute des fonctionnalités supplémentaires telles que:
L’interface est une fonctionnalité remarquable de SecuPress. Il possède l’interface la plus agréable de tous les outils de cette liste, ce qui est particulièrement agréable si vos clients le verront jamais. Encore une fois, vous pouvez certainement voir l’influence de WP Rocket dans l’interface.
Prix: version gratuite sur WordPress.org. La version payante commence à 65 $.
Cerber Security est un autre plugin de sécurité WordPress tout-en-un populaire qui comprend:
Tout d’abord, il est rempli de règles de renforcement de la sécurité telles que:
Vous pouvez également configurer des règles, comme bloquer automatiquement toute adresse IP qui tente de se connecter avec un nom d’utilisateur inexistant. Vous pouvez également créer des stratégies personnalisées basées sur les rôles, comme exiger deux facteurs pour les utilisateurs administrateurs et les déconnecter automatiquement après un certain temps.
Dans le cadre du pare-feu, vous obtenez un inspecteur de trafic en temps réel où vous pouvez voir tout ce qui se passe sur votre site, y compris la surveillance des sessions connectées et des visiteurs. Vous obtenez également des règles de blocage géographique.
Enfin, vous obtenez des analyses de logiciels malveillants, y compris la possibilité de planifier des analyses pour qu’elles s’exécutent automatiquement.
Si vous devez gérer plusieurs sites, il comprend également une fonctionnalité Cerber.Hub qui vous permet de gérer plusieurs sites à partir d’un tableau de bord. Ce tableau de bord est auto-hébergé, contrairement à Wordfence. Vous désignerez un site WordPress comme «maître», puis «esclave» pour les autres installations de ce tableau de bord principal.
Prix: version gratuite sur WordPress.org. La version payante commence à 99 $.
Actif sur plus de trois millions de sites Web, Wordfence est un plugin de sécurité WordPress populaire. L’équipe Wordfence est également très active dans l’espace WordPress et surveille en permanence les nouvelles menaces, qu’elle détaille sur son blog. Wordfence vise à être une solution complète et propose des outils pour toutes les catégories dont j’ai discuté ci-dessus.
Renforcement de la sécurité générale
Tout d’abord, WordPress comprend des tonnes d’outils pour vous aider à renforcer la sécurité de base de WordPress, tels que:
Vous obtenez également un onglet de sécurité de connexion dédié à partir duquel vous pouvez contrôler les mesures de sécurité de connexion telles que:
Firewall d’applications Web
Wordfence comprend également son propre WAF . L’équipe Wordfence ajoute continuellement de nouvelles règles en temps réel pour s’adapter aux menaces émergentes. Vous pouvez également configurer le fonctionnement du pare-feu, comme la mise en liste blanche de certaines adresses IP et de certains services.
Vous pouvez également bloquer immédiatement les adresses IP qui tentent d’accéder à certaines URL sensibles. Et avec la version premium, vous pouvez bloquer des pays entiers avec le ciblage géographique.
Analyses de sécurité
Enfin, vous obtenez également des analyses détaillées des logiciels malveillants. Ces analyses peuvent analyser tous les fichiers sur votre serveur, ainsi que la vérification d’autres problèmes de sécurité tels que:
C’est donc une sorte de «scan général des failles de sécurité de WordPress» qui inclut également le scan des logiciels malveillants.
Vous obtenez également des règles pour configurer la fréquence et la profondeur de l’analyse, ce qui peut vous aider à contrôler les ressources du serveur consommées par vos analyses.
Si vous gérez de nombreux sites WordPress ( comme les sites clients ), Wordfence comprend également un outil Wordfence Central qui vous permet de gérer la sécurité de tous vos sites à partir d’un emplacement central. Vous pouvez également créer des modèles de paramètres Wordfence que vous pouvez rapidement appliquer à de nouveaux sites et recevoir des alertes en cas de problème sur l’un de vos sites.
Le plugin Wordfence de base et la plupart des fonctionnalités sont gratuits. Cependant, il existe une différence notable en ce qui concerne les règles que Wordfence utilise pour ses analyses de pare-feu et de logiciels malveillants.
Avec la version premium, vous obtenez des mises à jour en temps réel de ces règles. Donc, dès que Wordfence détecte une menace ( ce qui est assez proactif ), Wordfence ajoute immédiatement ces règles à votre site.
Cependant, avec la version gratuite, ces mises à jour des règles sont retardées de 30 jours.
Prix: Wordfence est disponible gratuitement sur WordPress.org. La version payante commence à 99 $ pour une utilisation sur un seul site, avec des réductions de volume pour un plus grand nombre de sites.
Un plugin de sécurité WordPress est-il tout ce dont vous avez besoin ?
Bien que tous ces plugins de sécurité aident certainement à sécuriser votre site Web, la sécurité de WordPress n’est pas aussi simple que d’installer un plugin et de l’appeler un jour.
Cela ne signifie pas que les plugins de sécurité ne sont pas utiles – cela signifie simplement que si vous ne faites pas les petites choses correctement, même un plugin de sécurité ne pourra pas vous sauver.
L’une des choses les plus importantes que vous puissiez faire est de mettre à jour rapidement le logiciel de base WordPress , vos plugins et votre thème – en particulier pour les versions de sécurité mineures (par exemple WordPress 5.4.X ).
Selon le rapport du site Web piraté de Sucuri 2019 , environ la moitié de tous les sites WordPress exécutaient une version obsolète du logiciel principal lorsque leur site était infecté. De plus, 44% des sites Web piratés exécutaient un plug-in obsolète.
Pour faire court, les actions suivantes sont tout aussi importantes, sinon plus, que l’utilisation d’un plugin de sécurité WordPress:
Ce site Web utilise des cookies pour vous garantir la meilleure expérience sur notre site. En savoir plus
